浅析企业内部网络安全保密防护

中图分类号：X931 文献标识：A 文章编号：1674-1145（2017）11-000-02

摘 要 打造数字化企业已成为当前各大中型企业发展的主要目标。企业内部网络作为信息化建设的主要载体，其网络安全保密已经成为当前各企业不可忽视的首要问题。本文对企业网络安全保密存在的问题进行了深入探讨，并提出了对应的改进和防范措施。

关键词 计算机 网络 安全 对策

随着我国经济与科技的不断发展，数字化管理作为为网络时代的产物，已经成为企业管理发展的方向。信息化不断的发展，使企业在流程管理和整体效率上得到了全面的提升，并且日益成为影响企业竞争的关键性因素。同时，伴随信息化不断深入企业的业务流程，大量的企业核心信息以电子化的形式存在和应用。也正是在这种电子化趋势下，电子信息的易传输和易复制属性为企业机密信息的安全管理带来了新的挑战。对于目前企业信息安全工作形势的严峻性和工作的紧迫性，我们必须要有一个清醒的认识，决不可掉以轻心。随着各企业内部网络规模的急剧膨胀，网络用户的快速增长，企业内部网络安全保密问题已经成为当前各企业网络建设中不可忽视的首要问题。

一、企业内部网络安全保密的定义

企业内部网络安全保密是指企业利用网络管理控制和技术措施，保证在企业的内部网络环境里，数据的保密性、完整性及可使用性受到保护。企业内部网络安全保密包括两个方面，即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。

通俗地说，企业内部网络安全保密主要是指保护企业内部网络信息系统，使其没有危险、不受威胁、不出事故。从技术角度来说，企业内部网络安全保密的技术特征主要表现在网络系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。

二、企业内部网络安全保密的结构层次及防护措施

企业内部网络安全保密的结构层次主要包括：物理层面、技术层面和管理层面三个层面。这三个层面的具体内容及防护措施如下：

图1 网络系统网络的安全体系层次模型

（一）物理层面的安全防护

物理安全策略保证计算机网络系统各种设备的物理安全，是整个网络安全保密的前提。物理安全是保护计算机网络设备、设施免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、应用服务器、网络设备等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面：

1.环境安全。对系统所在环境的安全保护，确保计算机系统有一个良好的工作环境。它直接影响到系统的安全性和可靠性。选择计算机房场地，要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性，避开强振动源和强噪声源，并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。

2.设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全，首先，应考虑物理访问控制来识别访问用户的身份，并对其合法性进行验证；其次，对来访者必须限定其活动范围；第三，要在计算机系统中心设备外设安全防护圈，以防止非法暴力入侵；第四计算机系统中心设备所在的建筑物应具有抵御各种自然灾害的设施。

（二）技术层面的安全防护

技术层面主要需要保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问，并确保数据安全。只有解决网络的安全问题，才可以排除網络中最大的安全隐患，对于内部网络的安全管理主要依靠访问控制、数据安全两个方面来进行防御。

1.访问控制。访问控制是网络安全保密防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全保密最重要的核心策略之一，访问控制涉及的技术比较广，主要包括网络准入控制、AD域控制用户行为。

（1）网络准入控制。入网访问控制是保证网络资源不被非法使用，是网络安全保密防范和保护的主要策略。它为网络访问提供了第一层访问控制。技术上需要对企业内部网络的内部授权设备进行MAC地址绑定、IP地址绑定等配置，使其具备唯一、固定的接入点；对未使用的交换机端口采取逻辑控制，将其配置关闭（Shutdown）。通过技术和物理两方面防护手段结合控制，可以确保交换机的已使用端口与用户绑定，用户的网络接入点固定，IP固定，用户无法私自挪动网络接入位置，如若违规，交换机将立即关闭违规端口；交换机未使用端口始终处于不可用状态。这样，无论通过已使用端口还是未使用端口，未授权设备均无法接入涉密网络。

（2）AD域控制用户行为。AD域控制用户行为可以控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限，网络控制用户和用户组可以访问的目录、文件和其他资源，可以指定用户对这些文件、目录、设备能够执行的操作。启用密码策略，强制计算机用户设置符合安全要求的密码，包括设置口令锁定服务器控制台，以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据，提高系统安全行，对密码不符合要求的计算机在多次警告后阻断其连网。

2.数据安全部分。随着计算机的普及和信息技术的进步，特别是计算机网络的飞速发展，信息安全的重要性日趋明显。但是，作为信息安全的一个重要内容——数据的重要性却往往被人们所忽视。只要发生数据传输、数据存储和数据交换，就有可能产生数据故障。这时，如果没有采取相应手段与措施，就会导致数据的丢失。有时造成的损失是无法弥补和无法估量的。如何保护好计算机网络系统中存储的数据，保证系统稳定可靠地运行，并为业务系统提供快捷可靠的访问，通过以下四个方面来防护：

（1）数据库的备份与恢复。备份系统对于涉密信息系统的重要性不言而喻。服务器、数据库中的数据采用备份软件，对服务器操作系统，数据库，各应用软件进行全备份或增量备份。但实际上，许多用户计算机上存有涉密数据。对于用户计算机的数据备份采取多种措施，如与其他用户相互备份非涉密数据，在服务器上建立网络存储备份系统，为涉密人员提供充足的备份空间，以备份涉密数据。

（2）切断传播途径，接口控制。计算机开放了许多外设输入输出接口，如串口、并口、USB、1394、红外传输、读卡器等接口。这些接口是信息外泄和黑客攻击的重要途径，应严格控制。选用接口控制软件，禁用无线传输接口，管理物理接口，物理上拆除读卡器、无线MODEN、无线网卡等。部署三合一管理系统，管理涉密信息系统内部专用的涉密移动存储介质，此类移动存储介质通过注册和授权，在涉密信息系统之外无法使用，防止介质在涉密信息系统内外交叉使用，截断涉密信息网络与外部网络和计算机的数据交叉通道。

（3）提高网络反病毒技术能力。涉密信息系统的每一台计算机都应安装防病毒软件，服务器安装服务器版，内网用户安装网络版，单机用户安装单机版。定期更新防病毒软件病毒特征库，查看分析病毒日志和报告。对系统中存在的异常进程，文件作详细分析，防止病毒和恶意代码滋生。加强网络目录和文件访问权限的设置。在网络中，限制只能由服务器才允许执行的文件。

（4）内网安全风险管理与审计。内网安全风险管理与审计系统主要针对的是内部网络的一些越权获取数据、信息泄密、一机两用、非法接入、私自使用外来移动存储设备、未经允许接入设备等行为进行监查管理，可有效管理和阻止网络内部主要针对主机的有害行为，并且将过程记录下来提供给事后审计和查证，检查单位可以通过查看可靠的审计日志输出，对所有违规行为做到有据可查，对内部网络行为的管理监控结果有效，审计结果取证完整、记录可信。通过对行为而不是内容进行监管，还可防止管理人员接触无关的秘密，减少泄密的可能，使单位内部的秘密得到可靠保护。

（三）管理层面安全防护

企业内部网络的安全问题，不仅是设备，技术的问题，更是管理的问题。对于企业网络的管理人员来讲，一定要提高网络安全保密意识，加强网络安全保密技术的掌握，注重对领导和员工的网络安全保密知识培训，而且更需要制定一套完整的规章制度来规范上网人员的行为。要确保信息安全工作的顺利进行，必须注重把每个环节落实到每个层次上，而进行这种具体操作的是人，人正是网络安全保密中最薄弱的环节，然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理，注意管理方式和实现方法。从而加强工作人员的安全培训。增强内部人员的安全防范意识，提高内部管理人员整体素质，具体体现在以下两个方面：

1.健全安全管理机构。在公司内部，都应当设立相应级别的、负责信息安全的专门管理机构。安全管理机构的人员应包括领导和专业人员。按照不同任务进行分工以确立各自的职责。一类人员是负责确定安全措施，包括方针、政策、策略的制定，并协调、监督、检查安全措施的实施：另一类人员是负责分工具体管理系统的安全工作，包括安全管理员、安全审计员和系统管理员。在分工的基础上，应有具体的负责人，以负责整个网络系统的安全。

2.确立安全管理的原则和规章制度。一个完整的信息安全管理体系还应当有安全管理的原则和严格的规章制度。企业内部网络的安全问题，不仅是设备，技术的问题，更是管理的问题。需要制定一套完整的规章制度来规范上网人员的行为。除此之外，还应教育计算机用户和全体工作人员，应自觉遵守为维护系统安全而建立的一切规章制度，包括人員管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。

三、结语

总之，安全是个过程，它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看，主要涉及物理、技术和管理三个层面。企业内部网络的安全管理，不仅要看所采用的安全技术和防范措施，而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有三个层面紧密结合，才能使企业内部网络安全保密确实有效，确保企业内部网络的安全。

参考文献：

[1] 王根宏.让信息系统登录更安全[J].网络安全和信息化，2017（8）：124-127.

[2] 杨大伟，郑澎.终端安全管理系统提升运维效率[J].网络安全和信息化，2017（3）：122-126.